Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Des caméras de surveillance Amazon Ring potentiellement exploitables par les cybercriminels

août 2022 par Checkmarx

Evoluant dans le domaine de la domotique et de la sécurité domestique, Ring by Amazon permet l’accès aux sonnettes et caméras de surveillance extérieures et intérieures connectées de la marque. Des millions de caméra Ring sont aujourd’hui en activité à travers le monde aussi bien au niveau domestique que professionnel. L’application Android a été téléchargée plus de 10 millions de fois sur le Play Store de Google.

Les chercheurs Checkmarx ont constaté qu’en utilisant une application malveillante, il était possible de prendre le contrôle de l’application Ring, dérober des informations (nom, e-mail et même déduire l’adresse du domicile de l’utilisateur), ainsi que ses fichiers vidéo stockés dans le cloud. La vulnérabilité a été détectée dans l’activité com.ringapp/com.ring.nh.deeplink.DeepLinkActivity, exportée dans le manifeste Android et était accessible, en tant que telle, à d’autres applications sur le même appareil.

Si ces applications additionnelles étaient des applications malveillantes, elles auraient pu, une fois installées, avoir accès à des millions de vidéos d’utilisateurs Ring ainsi qu’à leurs données personnelles. En utilisant la puissance des technologies de Machine Learning intégrées à Amazon Rekognition, les chercheurs ont identifié un moyen très rapide pour les acteurs malveillants d’automatiser l’analyse des enregistrements vidéo pour y extraire des informations utiles. Rekognition peut en effet scanner un nombre illimité de vidéos et y détecter des objets, du texte, des visages et des personnalités publiques, etc.

Ce service pourrait être utilisé à des fins de lecture d’informations sensibles à partir d’écrans d’ordinateurs et de documents visibles par les caméras Ring ainsi que pour le suivi des mouvements de personnes à l’intérieur et à l’extérieur d’une pièce. Par exemple, pour rechercher une vidéo d’un coffre-fort, qui donnerait également son emplacement et son code secret ou trouver des images de documents sur lesquels seraient écrits les mots « Top secret », « mot de passe » ou « privé ». Ou dans un scénario encore plus noir, rechercher les images d’enfants isolés.

Amazon a considéré qu’il s’agissait d’un problème de gravité élevée et a publié un correctif peu de temps après son signalement :
8 « Nous avons déployé un correctif pour les clients Android le 27 mai 2022, peu de temps après le traitement de la découverte des chercheurs. D’après notre examen, aucune information client n’a été exposée. Cette faille serait extrêmement difficile à exploiter pour quiconque, car elle nécessite un ensemble improbable et complexe de circonstances pour être exécutée ».

Ce fut un réel plaisir de collaborer aussi efficacement avec l’équipe Amazon tout au long du processus de divulgation et de correction de la vulnérabilité. L’équipe de sécurité d’Amazon est aujourd’hui dotée du sceau d’approbation Checkmarx.


Voir les articles précédents

    

Voir les articles suivants